MacOS casus yazılımı CloudMensis kullanıcıları gözetliyor

ESET Araştırma Ünitesi, kapalılığı ihlal edilmiş Mac bilgisayarların kullanıcılarını gözetleyen, operatörleriyle irtibatı sağlamak için sırf herkese açık bulut depolama hizmetlerini kullanan ve evvelce bilinmeyen bir macOS art kapısı keşfetti.

ESET, operatörlerle bağlantıya geçmek için bulut depolama hizmetlerini ve dizin isimleri olarak da ayların isimlerini kullandığı için kelam konusu makûs maksatlı yazılıma CloudMensis ismini verdi. Bu makus gayeli macOS yazılımı, komuta denetim kanalı olarak bulut depolamayı kullanırken pCloud, Yandex Disk ve Dropbox olmak üzere üç farklı hizmet sağlayıcısını destekliyor. CloudMensis, saklılığı ihlal edilmiş Mac’lerden dokümanları, tuş vuruşlarını ve ekran imajlarını dışarı sızdırmak da dahil olmak üzere 39 adet komut verebiliyor. Kullanılan bulut depolama hizmetlerinden alınan meta datalar, bu akının birinci defa 4 Şubat 2022’de bir Mac’in kapalılığını ihlal ettiğini gösteriyor. CloudMensis dağıtımının hudutlu sayıda olması, makûs gayeli yazılımın hedeflenmiş bir operasyonun modülü olarak kullanıldığına işaret ediyor.

Ne yaptığını görüyorum

CloudMensis Mac kullanıcıları için bir tehdit olsa da dağıtımının sonlu sayıda olması, bunun hedeflenmiş bir operasyonun modülü olarak kullanıldığına işaret ediyor. ESET’e nazaran bu makus hedefli yazılım ailesinin operatörleri, CloudMensis’i ilgi duydukları muhakkak amaçlara dağıtıyor. macOS tedbirlerini atlatmak için güvenlik açıklarının kullanılması, makus hedefli yazılımın operatörlerinin casusluk operasyonlarından alınacak başarıyı arttırmak için etkin olarak uğraş harcadıklarını gösteriyor. Araştırma, bu kümenin açıklanmayan güvenlik açıklarını (sıfır gün saldırısı) da kullanmadığını ortaya koydu. Bu yüzden, en azından tedbirlerin ihlal edilmesinden kaçınmak için yeni bir Mac kullanmanız tavsiye edilir.

CloudMensis’i inceleyen ESET araştırmacısı Marc-Etienne Léveillé durumu şu şekilde açıklıyor: “CloudMensis’in birinci başta nasıl dağıtıldığını ve kimlerin maksat alındığını hala bilmiyoruz. Kodun genel kalitesi ve bir gizleme tekniğinin bulunmayışı, CloudMensis müelliflerinin Mac geliştirme konusuna çok aşina olmadıklarını ve pek de ileri düzeyde olmadıklarını gösteriyor. Yeniden de CloudMensis’i güçlü bir casusluk aracı yapmak ve potansiyel maksatlar için bir tehdit oluşturmak hedefiyle çok fazla kaynak kullanıldığı görülüyor.”

Ekran imajlarını, e-posta eklerini ve hassas dataları hedefliyor

CloudMensis, kod yürütme ve yönetici ayrıcalıkları elde ettiğinde, daha fazla özelliğe sahip ikinci kademeyi bir bulut depolama hizmetinden ele geçirerek birinci etap berbat emelli yazılımı çalıştırıyor. Bu ikinci kademe, saklılığı ihlal edilmiş Mac’ten bilgi toplamak için birçok özelliğe sahip daha büyük bir bileşeni temsil ediyor. Saldırganlar burada açıkça dokümanları, ekran manzaralarını, e-posta eklerini ve öbür hassas dataları dışarı çıkarmayı amaçlıyor. Şu anda mevcut 39 komut bulunuyor.

CloudMensis, hem operatörlerinden gelen komutları almak hem de evrakları dışarı çıkarmak için bulut depolamayı kullanıyor. pCloud, Yandex Disk ve Dropbox olmak üzere 3 farklı hizmet sağlayıcısını destekliyor. İncelenen örnekte yer alan yapılandırma, pCloud ve Yandex Disk’e yönelik kimlik doğrulama belirteçleri içeriyor.

Kullanılan bulut depolama hizmetlerinden alınan meta datalar, 4 Şubat 2022 tarihinden itibaren botlara komut iletilmeye başlanması üzere, operasyonla ilgili enteresan ayrıntılar sunuyor.

Ürünlerini kullananları hedefleyen bir casus yazılımın olduğunu yakın bir vakitte açıklayan Apple,iOS, iPadOs ve macOS aygıtları üzerinde kod yürütme ayrıcalığı kazanmak ve berbat emelli yazılım dağıtmak için sıklıkla suistimal edilen özellikleri devre dışı bırakan Lockdown Mode’un ön çalışmalarını gerçekleştiriyor.